Bogues détectés dans le plugin Ninja Forms, 1M de sites concernés

Les exploits détectés dans le plugin Ninja Forms pour WordPress, installé sur plus d’un million de sites, peuvent conduire à une prise de contrôle complète du site s’ils ne sont pas corrigés.Wordfence a détecté un total de quatre vulnérabilités dans le plugin Ninja Forms WordPress qui pourraient permettre aux attaquants de:

  • Redirigez les administrateurs du site vers des emplacements aléatoires
  • Installez un plugin qui pourrait être utilisé pour intercepter tout le trafic de messagerie
  • Récupérez la clé de connexion Ninja Form OAuth utilisée pour établir une connexion avec le tableau de bord de gestion central Ninja Forms
  • Incitez les administrateurs d’un site à effectuer une action susceptible de déconnecter la connexion OAuth d’un site

Ces vulnérabilités pourraient conduire des attaquants à prendre le contrôle d’un site et à effectuer un nombre quelconque d’actions malveillantes.En raison de la gravité des exploits, une mise à jour immédiate du plugin est recommandée. Depuis le 8 février, toutes les vulnérabilités sont corrigées dans la version 3.4.34.1 du plugin Ninja Forms. Si vous avez un formulaire de contact sur votre site et que vous ne savez pas avec quel plugin il est construitUne mise à jour rapide du plugin protégera votre site de tout ce qui précède. La vitesse à laquelle ces vulnérabilités ont été corrigées montre à quel point les développeurs du plugin sont déterminés à le protéger.

Exploits de vulnérabilité – La troisième plus grande menace pour les sites WordPress

Les exploits de vulnérabilité constituent une menace importante pour les sites WordPress. Il est important de mettre à jour régulièrement vos plugins afin de disposer des derniers correctifs de sécurité C’est une attaque si courante que sur 4 millions de sites analysés dans le rapport, chacun d’entre eux a connu au moins une tentative d’exploit de vulnérabilité l’année dernière.L’ajout d’un pare-feu à votre site WordPress est un autre moyen de le protéger, car cela peut empêcher les attaquants d’abuser des vulnérabilités des plugins même s’ils n’ont pas encore été corrigés il est recommandé de vérifier quand il a été mis à jour pour la dernière fois. C’est un bon signe lorsque les plugins ont été mis à jour au cours des dernières semaines ou mois.Les plugins abandonnés sont une plus grande menace pour les sites car ils peuvent contenir des vulnérabilités non corrigées.Pour plus de conseils sur la protection de votre site, voir: Comment protéger un site WordPress contre les pirates.

Évitez les plugins piratés

Évitez à tout prix d’utiliser des versions piratées de plugins payants, car ils sont la source de la menace la plus répandue pour la sécurité de WordPress. Plus de 17% de tous les sites infectés en 2020 contenaient des logiciels malveillants provenant d’un plugin ou d’un thème piraté.Jusqu’à récemment mais à partir de cette semaine, ils ont été supprimés.